Cosmos Vulnerability Scanner

Startet parallele Cosmos SDK / CosmWasm Scanner für Chain-Halt- und Fund-Loss-Bugs über 54 dokumentierte Muster hinweg.

von trailofbits · trailofbits/skills

Getestet · Funktioniert ★ 9.2/10

Cosmos Vulnerability Scanner — Startet parallele Cosmos SDK / CosmWasm Scanner für Chain-Halt- und Fund-Loss-Bugs über 54 dokumentierte Muster hinweg.

Was es kann

Führt einen strukturierten Multi-Agenten-Sicherheitsscan von Cosmos SDK-Modulen und CosmWasm-Verträgen durch, überprüft Code gegen 54 dokumentierte Schwachstellenmuster (non-determinism, ABCI panics, signer mismatches, IBC, EVM, CosmWasm) und schreibt einen Markdown-Befund pro Bug in ein Ausgabeverzeichnis. Löst beim Auditieren benutzerdefinierter x/-Module, Überprüfen von IBC-Integrationen oder bei der Sicherheitsüberprüfung vor dem Start der Kette aus und lehnt explizit reine Solidity- oder nicht-konsenskritische Arbeiten ab.

Testbericht

Ein synthetisches Cosmos-Belohnungsmodul mit einem Map-Iterationsfehler und einer unvalidierten msg_server-Auszahlung zugeführt; die eigenen Muster-Dokumente des Skills erfassten beide sowie einen dritten Fehler, den eine generische Überprüfung übersehen hatte (panic-on-error in EndBlock), jeder mit der exakten Schweregradklasse (fund-loss-vs-chain-halt) aus der Referenzdatei versehen. Die angegebenen Musterzahlen (25 core / 16 IBC / 10 EVM / 3 CosmWasm) stimmen exakt mit der Scanner-Rollen-Tabelle in der SKILL.md selbst überein.

Getestet am: 2026-07-14 · Claude Code 2.x (agent harness)

Installation

git clone https://github.com/trailofbits/skills
cd skills
mkdir -p ~/.claude/skills
cp -r plugins/building-secure-contracts/skills/cosmos-vulnerability-scanner ~/.claude/skills/cosmos-vulnerability-scanner

Befehle & Beispiel-Prompts

  • /cosmos-vulnerability-scannerStartet parallele Cosmos SDK / CosmWasm Scanner für Chain-Halt- und Fund-Loss-Bugs über 54 dokumentierte Muster hinweg.

Skills reagieren auf normale Anfragen — keine Slash-Befehle nötig. Nach der Installation aktivieren Prompts wie diese den Skill (auf Englisch):

  • Audit my Cosmos SDK module for vulnerabilities
  • Scan this ABCI handler for chain-halt panics
  • Check my Cosmos module for unauthenticated payouts